Сервисные аккаунты

Сервисный аккаунт — аккаунт, от имени которого программы могут управлять ресурсами в Яндекс.Облаке.

Зачем нужны сервисные аккаунты

Использование сервисных аккаунтов позволяет гибко настраивать права доступа к ресурсам для написанных вами программ.

Например, вы написали приложение, которое отслеживает статусы виртуальных машин. Для этого ей достаточно иметь права на просмотр (роль viewer), но программа работает от вашего имени, а у вас есть права на удаление виртуальных машин.

Чтобы защититься от случайного удаления виртуальной машины вашей программой, создайте сервисный аккаунт и дайте ему доступ только на просмотр.

Чем отличается сервисный аккаунт от других акканутов

  • Сейчас сервисные аккаунты нельзя использовать для входа в консоль управления. Подразумевается, что операции от имени сервисного аккаунта будут выполнять программы, а не люди.

  • Сервисный аккаунт — это ресурс. Вы можете назначать и отзывать роли на сервисный аккаунт у других пользователей. Например, чтобы разрешить использовать этот сервисный аккаунт для работы с Яндекс.Облаком.

  • Для сервисного аккаунта можно создать ключи, используемые для аутентификации в Яндекс.Облаке через API, CLI и другие инструменты. Эти ключи будут удалены при удалении сервисного аккаунта.

  • Сервисный аккаунт можно привязывать к виртуальным машинам и функциям в которых запускается ваша программа.

    Это упрощает масштабирование приложений, работающих с Яндекс.Облаком:

    • Вам не надо изменять код программы, чтобы она заработала на новой виртуальной машине или функции. IAM-токен для аутентификации уже доступен изнутри.
    • Чтобы разрешить и запретить всем запущенным экземплярам программы выполнять какие-либо операции в Яндекс.Облаке, вы назначаете или отзываете роли у одного сервисного аккаунта.

Ключи сервисного аккаунта

Для аутентификации сервисного аккаунта в Яндекс.Облаке используются:

Созданные ключи принадлежат сервисному аккаунту и разрешения на управление ключами наследуются от сервисного аккаунта. Например, если у вас есть роль viewer на сервисный аккаунт, то вы сможете посмотреть список ключей, принадлежащих этому аккаунту, но не сможете их удалить или создать новые ключи.

См. также